Deux semaines de défaillances opérationnelles majeures chez Lloyds Bank et Barclays ont révélé une pourriture institutionnelle plus profonde que la plupart des clients détenteurs de dépôts ne le réalisent. Une exposition de données touchant 80 500 clients chez Lloyds—suite à ce que l'établissement a qualifié de « défaillance informatique majeure »—est intervenue quelques semaines seulement après l'annonce par Barclays d'une perte de 228 millions de livres sterling découlant de sa filiale hypothécaire MFS, une unité qui s'est effondrée sous le poids de décisions de crédit risquées et, implicitement, d'une gouvernance opérationnelle déficiente. Il ne s'agit pas d'incidents isolés. Ils sont symptomatiques d'une vulnérabilité structurelle dans la façon dont l'infrastructure bancaire britannique héritée a été laissée à se dégrader.

La faille chez Lloyds mérite un examen particulier. Une « défaillance informatique » qui a exposé près de 100 000 relevés de transactions clients n'est ni une défaillance ni un accident—c'est la preuve d'un sous-investissement systémique dans la résilience des données, les contrôles d'accès et l'architecture de surveillance. Le fait que Lloyds ait présenté cet incident dans un langage aussi passif souligne une stratégie réglementaire et de réputation devenue courante dans le secteur bancaire britannique : minimiser le langage, limiter la transparence et miser sur l'inertie des clients. Pourtant, le cadre de résilience opérationnelle de la Banque d'Angleterre, désormais en vigueur dans tout le secteur, exige des capacités de récupération et de secours démontables. Si Lloyds ne peut pas prévenir l'accès non autorisé aux données par ce qui s'apparente à des contrôles fondamentaux—et une faille affectant 80 500 comptes le suggère clairement—alors la banque a échoué un test qui devrait être non négociable.

La perte de 228 millions de livres sterling chez Barclays sur MFS raconte une histoire complémentaire : un appétit pour le risque détaché d'une gouvernance adéquate. La société hypothécaire était exposée aux prêts immobiliers commerciaux au cours d'une période de volatilité des taux et de stress sectoriel. Le fait que Barclays ait permis à cette exposition de croître au point de générer une perte à neuf chiffres indique que les comités des risques n'ont soit pas reçu l'intelligence appropriée, soit, pire encore, l'ont reçue et ont choisi de ne pas agir. L'un ou l'autre scénario représente un échec du type que les régulateurs prétendent policer par des tests de stress du capital et des orientations du Pilier 2. Or, nous voyons une institution financière britannique d'importance systémique absorber des pertes qui auraient pu être évitées par des contrôles opérationnels plus stricts et des systèmes d'alerte précoce plus robustes.

Pour les fournisseurs d'infrastructures financières et les plateformes fintech émergentes opérant dans le cadre de PSD2—qui comprend les réseaux de finance intégrée, les plateformes Banking-as-a-Service et les réseaux de paiement numérique—les débâcles de Lloyds et Barclays comportent une implication délicate : si les prêteurs de premier rang disposant de décennies d'expérience opérationnelle et de milliards de livres sterling de budgets informatiques annuels ne peuvent pas maintenir la sécurité des données et l'hygiène des risques de base, quelle confiance les régulateurs ou les clients peuvent-ils placer dans les fournisseurs d'infrastructures plus récents et plus épurés ?

La réponse, paradoxalement, peut résider dans la différence architecturale plutôt que dans l'échelle. Les orientations de la Banque centrale européenne sur la résilience opérationnelle mettent de plus en plus l'accent sur une conception modulaire, cloud-native et auditable—exactement l'inverse des plateformes de base bancaire monolithiques qui sous-tendent les systèmes client de Lloyds et Barclays. Un émetteur fintech utilisant des API d'émission de cartes avec garde ségrégée et des piles de surveillance dédiées peut, en fait, présenter un risque opérationnel inférieur à celui d'une banque héritée disposant de systèmes de traitement par lots étendus, de bases de données incompatibles et de hiérarchies de contrôle d'accès byzantines. Ce n'est pas un argument en faveur d'une abstention réglementaire à l'égard des acteurs plus petits—c'est un argument selon lequel la Banque d'Angleterre et l'Autorité de la conduite financière doivent commencer à évaluer le risque opérationnel sur la base de l'architecture et de la capacité de réaction aux incidents, et non sur la taille de l'institution.

La condamnation pour escroquerie cryptographique signalée la même semaine—un opérateur du Texas emprisonné 23 ans pour une fraude de 1 milliard de dollars adossée à l'art—ajoute du contexte. La fraude, le vol et la défaillance opérationnelle sont des risques universels. Ce qui différencie les bons acteurs des mauvais n'est pas l'immunité au risque ; c'est la transparence, la rapidité de détection et la remédiation proportionnée. Lloyds a notifié les clients concernés et l'FCA. C'est le minimum requis. Mais la banque a-t-elle détecté la faille par le biais d'une surveillance proactive ou d'une plainte de client ? Pendant combien de temps les données ont-elles été exposées ? Des transactions frauduleuses ont-elles été initiées à la suite de cette faille ? Ces détails importent—et leur absence dans les déclarations publiques suggère que la banque calibre toujours quelle divulgation elle peut minimiser sans déclencher une action coercitive.

Les pressions réglementaires s'intensifient. Les règles finales de résilience opérationnelle de la Banque d'Angleterre, en vigueur depuis janvier 2025, exigent que les banques identifient les « services commerciaux importants » et testent leur capacité à les poursuivre en cas de stress. Une faille de données qui expose les détails des transactions échoue apparemment à ce test. La perte de Barclays sur MFS attirera probablement un examen intensifié lors du prochain test de stress coordonné par la BCE, en particulier si la banque ne peut pas articuler comment elle prévient des expositions similaires à l'avenir. Pour les nouvelles plateformes fintech cherchant à démontrer leur résilience en tant que concurrentes des prêteurs héritées, ces faux pas constituent à la fois un avertissement et une opportunité : démontrer que vous avez tiré les leçons que ces institutions n'ont pas apprises.

Ce que cela révèle n'est pas que le secteur bancaire britannique est fragile—c'est que les plus anciennes institutions sont les plus lentes à s'adapter. Les débâcles de Lloyds et de Barclays reflètent des décennies de dette d'infrastructure héritée, des structures de gouvernance optimisées pour des régimes réglementaires révolus et une hypothèse implicite selon laquelle la taille et l'histoire confèrent l'invulnérabilité. L'FCA et la Banque d'Angleterre disposent désormais de motifs explicites pour accélérer les mesures coercitives sur la résilience opérationnelle. Attendez-vous à des avis coercitifs. Attendez-vous à des suppléments de capital. Et attendez-vous à ce que la prochaine génération de fournisseurs de rails de paiement et d'opérateurs BaaS soit scrutée bien plus rigoureusement—non pas parce qu'ils sont plus risqués, mais parce que les régulateurs ne toléreront plus l'autosatisfaction opérationnelle devenue endémique dans le secteur bancaire établi.

Rédigé par l'éditeur de Codego Press—journalisme indépendant sur le secteur bancaire et la fintech alimenté par Codego, fournisseur d'infrastructure bancaire européenne depuis 2012.

Sources : The Finanser / Chris Skinner's blog · 29 avril 2026